Mi trovo in una situazione in cui ho bisogno di consegnare un utente da un'applicazione mobile a un'applicazione web. L'applicazione mobile utilizza WebAPI sul back-end con OAUTH 2. L'applicazione web d'altra parte è MVC che utilizza i cookie.
Non sono in grado di modificare l'applicazione Web in alcun modo significativo, ma ho l'obbligo di non consentire all'utente di accedere al sito Web dopo che hanno già effettuato l'accesso all'app.
Quindi il mio pensiero è di aggiungere una route del punto di ingresso a MVC, che non richiede autenticazione e utilizza come parametri il token utilizzato nell'API e l'URL che l'utente desidera. Il controller autentica il token, emette il cookie e reindirizza l'utente a dove vuole andare.
Questo sarebbe un controller passivo invisibile. Ha un senso e dovrebbe essere facile da fare, ma mi sento a disagio nel loggare l'utente nel sito senza passare per il percorso tipico.
Ci sono potenziali vulnerabilità in questo approccio?